Scénario #18722: Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm) - eole-cntlm - Ensemble Ouvert Libre Évolutif

Scénario #18722

Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

Added by Daniel Dehennin over 6 years ago. Updated over 6 years ago.

Status:

Terminé (Sprint)

Priority:

Normal

Assigned To:

force indigo

Category:

Target version:

Distribution EOLE - sprint 2017 13-15 Equipe MENSR

Start date:

02/21/2017

Due date:

04/14/2017

% Done:

100%

Estimated time:

(Total: 4.75 h)

Spent time:

(Total: 5.80 h)

Story points:

1.0

Remaining (hours):

0.00 hour

Velocity based estimate:

Release:

EOLE 2.6.1

Release relationship:

Auto

Description

Problème¶

Sur le proxy 1 carte, le passage par cNTLM est non fonctionnel pour les sites exclus du cache et/ou de l’authentification ne s’affiche pas.

Le navigateur obtient une réponse la connexion a été réinitialisée.

Le problème n’est pas reproductible sur la cible etb1.

Proposition¶

Aucune idée

Subtasks

History

#1 Updated by Daniel Dehennin over 6 years ago

Description updated (diff)

#2 Updated by Ludovic Landucci over 6 years ago

Bonjour,

Sur un Amon 2.4.2 on reproduit également le problème. Qu'il s'agisse de site http / https. Un ouvre.firewall ne change rien.

Aucun problème en passant directement par dansguardian sur 3128.

Pour le site https://webmail.ac-dijon.fr
Lorsqu'il est exclu de l'authentification :
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.923 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.989 64 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.053 63 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.118 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.431 311 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.682 248 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.746 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.816 68 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.880 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.945 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Lorsque le site webmail.ac-dijon.fr est supprimé des exclusions d'authentif :
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 85636 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 106446 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.787 31448 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

Pour info, j'ai laissé le site exclu du cache. Je pense que le problème ne se pose que lorsque le site est exclu de l'authentification.
On a constaté exactement la même chose avec le site http://perdu.com

On continue les tests ...

#3 Updated by Ludovic Landucci over 6 years ago

Bon, j'ai testé avec la version cntlm d'un Amon 2.3 et je n'ai plus le problème ! ! !

md5sum de cntlm d'un amon 2.4 : cdbfa65dfdefd7ec66e8a17561c24bf1
md5sum de cntlm d'un amon 2.3 : b5b52929641dc2f6ccc7d6e0050c7267

Avec le site exclu :
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17310 10.171.142.1 TCP_MISS/200 190578 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 18582 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17311 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.825 66 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 89 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 88 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Sans le site exclu de l'authentif :
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.309 52863 10.171.142.1 TCP_MISS/200 192487 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 52865 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 53286 10.171.142.1 TCP_MISS/200 161752 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

#4 Updated by Scrum Master over 6 years ago

Tracker changed from Proposition Scénario to Scénario

#5 Updated by Joël Cuissinat over 6 years ago

Due date set to 03/24/2017
Target version set to sprint 2017 10-12 Equipe MENSR
Start date set to 03/06/2017
Release set to EOLE 2.6.1

#6 Updated by Joël Cuissinat over 6 years ago

Story points set to 2.0

#7 Updated by Joël Cuissinat over 6 years ago

Target version changed from sprint 2017 10-12 Equipe MENSR to sprint 2017 13-15 Equipe MENSR

#8 Updated by Joël Cuissinat over 6 years ago

Assigned To set to force indigo

#9 Updated by Joël Cuissinat over 6 years ago

Story points changed from 2.0 to 3.0

#10 Updated by Scrum Master over 6 years ago

Story points changed from 3.0 to 1.0

Rédiger une notice

Voir E Garette

#11 Updated by Joël Cuissinat over 6 years ago

Subject changed from Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher to Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm)

Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (avec Firefox, message d'erreur : La correction a été réinitialisée).
En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas ce dernier ne joue pas l'authentification et la requête échoue.
Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.
L'utilisation de WPAD est donc la solution recommandée pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.

#12 Updated by Joël Cuissinat over 6 years ago

Subject changed from Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm) to Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

#13 Updated by Fabrice Barconnière over 6 years ago

Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF

Project

General

Profile

Distribution EOLE » Services » eole-proxy » eole-cntlm

Issues

Custom queries